ISO27001企业信息安全——过程
ISO27001企业信息安全——过程
明确定义的政策、标准和流程,共同被称为信息安全过程,它是有效信息安全计划的基础。
政策为特定公司提供了信息安全计划的广泛框架。安全政策可以对关键的内部系统限制为只能由一小部分经授权员工才可以访问。关键系统可能包括薪资系统、应收账款和订单处理系统等。公司可依据ISO27001标准做出的关键决策,例如在不同的业务过程中选择不同的技术等。
公司的标准也可以定义哪些部门能够访问系统。例如,一个公司标准可能规定所有的员工信息都要存放在公司的人力资源信息系统(HRIS)中,只有人力资源部的员工才能访问这些数据。
流程是详细的、按部就班的操作指导,它协助员工以安全和可靠的方式开展工作。例如,安全过程可以为一些人请求访问关键系统提供详细的流程,包括可能需要填写表格、在IT人员赋予访问权限之前获得必要的批准等。
企业的一个关键政策是帐号管理,它相当于管理哪个员工可以获得公司各个地方的钥匙。保证只让员工访问完成其职能所需要的系统,这是非常重要的。允许员工在访问敏感信息时,遵循“必须知道”的基础。在系统访问控制中,这被称为最小权限原则。
例如,一个典型的人力资源部门的员工可能没有理由来访问有关公司兼并与收购计划的受保护的信息。建立访问政策是一个平衡行为,既允许员工有效完成其工作,又要保证他们能很好地维护一个安全和可靠的环境并保护敏感信息。
安 全意识教育也是很重要的。员工们必须了解他们在实施安全计划中的作用,且必须知道当他们发现问题时应该与谁联系。将这些政策张贴在最常见的地方,如公司的 内部网上,这能够有助于增进政策的了解和采纳。员工们通常不会意识到风险,所以对他们进行关于安全威胁的教育是有效信息安全计划的一个必需的构成部分。
另外一个考虑重点是要持续更新公司的安全政策。信息安全领域是动态的。
在去年还是不太可能的威胁,在下周可能就被认为是非常严重的。新的威胁不断产生,各个政策必须动态更新以保持有效性。要求对安全流程进行定期测试,以保证信息安全计划能够正常发挥作用。
有效的信息安全过程是有效信息安全计划的必需构成部分。它们充当安全计划中人员和技术两个构成部分之间的胶水,保证它们能够以互相促进的方式运作。
